Sophos [LAB 4] Cấu Hình Remote Access VPN Trên SophosXG (SSL VPN)

Tài liệu này sẽ hướng dẫn cấu hình Remote Access VPN (SSL VPN) trên SophosXG v18.5
1. Mô hình và yêu cầu của bài lab

Cấu hình Remote Access VPN sử dụng SSL VPN trên firewall SophosXG để người dùng có thể truy cập vào các resource bên trong SophosXG.
2. Thực hiện cấu hình
Đầu tiên ta sẽ kết nối AD server với SophosXG để lấy thông tin user cho việc xác thực khi xử dụng SSL VPN, để kết nối với AD server trước tiên ta phải cấu hình thông tin DNS ta vào phần Network->DNS

Sau đó ta sẽ Add AD server mới bằng cách vào Authentication->Servers->Add. Trong bài làm này ta sẽ dùng AD nên trong phần Server Type ta sẽ chọn Active Directory, sau đó ta sẽ điền các thông tin để kết nối với AD server như: IP NETBIOS name, account để kết nối với AD server(nên dùng account có quyền domain admin),...Khi đã điền đầy đủ thông tin ta sẽ nhấn Test Connection để kiểm tra kết nối từ SophosXG tới AD server:

Sau đó ta sẽ lấy users từ AD server bằng cách vào Authentication->Servers chọn AD mới tạo sau đó nhấn import và chọn thông tin như hình



Sau đó bạn có thể kiểm tra Group đã được thêm vào SophosXG bằng cách vào Authentication->Groups ở đây bạn có thể thấy đã có group đã chọn trong phần trên

Tiếp theo ta phải định nghĩa phương thức identity khi sử dụng SSL VPN trong phần Authentication->Services->SSL VPN authentication methods ta sẽ chọn AD server đã cấu hình fall back bằng user local đồng thời cũng define trong phần User portal authentication methods để user có thể dùng để download VPN client

Sau đó ta sẽ vào phần cấu hình SSL VPN policy bằng cách vào phần VPN->SSL VPN(remote access)->Add tại đây ta sẽ điền thông tin Identity là Group user đã lấy được từ AD server ở trên sau đó ở phần Tunnel access sẽ có 2 lựa chọn: đẩy tất cả traffic về SophosXG(Use as default gateway) hoặc define ra các subnet đẩy về SophosXG còn lại sẽ dùng gateway của bản thân(Split tunnel). Ở bài lab này ta sẽ cấu hình split tunnel để truy cập vào 2 subnet là 172.16.198.0/24 và 172.16.199.0/24

Các bạn cũng có thể thay đổi các thông số của SSL VPN bằng cách vào phần VPN->Show VPN settings ở đây ta có thể thay đổi các thông số như: Protocol, Port, IP cấp cho user khi truy cập SSL VPN, cũng như thông tin DNS, Domain và các thuật toán để xác thực và mã hóa gói tin.

Cuối cùng ta sẽ tạo rule để cho phép user SSL VPN truy cập vào các resource mong muốn bằng cách vào Rules and policies->New firewall rule default khi sử dụng VPN nó sẽ thuộc vào zone VPN nên ta cấu hình Source zone sẽ là VPN tiếp theo phần Source networks and devices ta sẽ chọn subnet sẽ cấp cho user khi truy cập SSL VPN đã cấu hình trên phần Show VPN settings còn thông số destination ta sẽ cấu hình zone, subnet hoặc host và service mà ta cho phép user SSL VPN có thể truy cập

Lưu ý: Sau khi hoàn tất các bước trên đảm bảo 2 thông số SSL VPN và User Portal được chọn trong phần Administration->Device access->Zone WAN để cho phép user kết nối SSL VPN cũng như đăng nhập user portal để tải VPN client

Đấu tiên ta sẽ truy cập user portal để tải VPN client

Sau đó ta sẽ chọn phần Download client and configuration for Windows trong tab VPN

Sau khi cài đặt xong ta sẽ điền thông tin identity để xác thực SSL VPN ta thấy đã kết nối thành công

Ta kiểm tra route và ping tới resource bên trong SophosXG

Trên SophosXG ta cũng có thể thấy được user đang kết nối SSL VPN